Cyber Shelf

// Comparaison

The Art of Software Security Assessment vs Real-World Cryptography : lequel lire ?

Deux livres de cybersécurité sur AppSec, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
5/52006
The Art of Software Security Assessment

Identifying and Preventing Software Vulnerabilities

Mark Dowd, John McDonald, Justin Schuh

Référence de 1200 pages sur l'audit de codes C/C++ pour la sécurité : interactions mémoire et entiers complexes, pièges du langage, et comment les vulnérabilités émergent à la frontière entre couches.

Intermédiaire
5/52021
Real-World Cryptography

David Wong

Tour pratique de David Wong des primitives, protocoles et pièges cryptographiques qui apparaissent réellement en production, avec une attention assumée à TLS, Noise, AEAD modernes, et post-quantique.

À lire si

Auditeurs, chercheurs de vulnérabilités et développeurs de codebases C/C++. Le livre le plus profond en imprimé sur la lecture de code adversariale. Vieux, dense et toujours indépassé.
Ingénieurs qui doivent prendre des décisions cryptographiques dans de vrais systèmes : AEAD, échange de clés, signatures, hachage de mots de passe, PKI, chiffrement de bout en bout, migration post-quantique. Le nouveau standard moderne, et le livre que nous recommandons en premier à quiconque touche à la crypto en production.

À éviter si

Développeurs web, quiconque travaille exclusivement en langages memory-safe, ou débutants sans exposition C/C++. Le livre est un primer d'audit de 1 200 pages ; rien d'autre ne rivalise en profondeur.
Chercheurs en cryptographie ou lecteurs qui veulent les preuves mathématiques complètes. Les maths sont bornées au strict nécessaire pour évaluer des choix, pas pour reconstruire les preuves. Pour la profondeur suivante, lire Serious Cryptography après celui-ci.

Points clés

  • Les classes de vulnérabilités (corruption mémoire, problèmes d'entiers, format strings, race conditions) émergent des interactions entre couches ; le livre vous apprend à voir les frontières.
  • Le chapitre sur les problèmes d'entiers est la référence canonique ; la plupart des CVE publiques en C/C++ jusqu'en 2025 remontent encore aux patterns nommés ici par Dowd/McDonald/Schuh.
  • Les études de cas (Apache, Postfix, Solaris, OpenSSL) rendent les abstractions concrètes ; les lire dans l'ordre construit l'œil d'auditeur que rien d'autre ne construit.
  • La majorité des vulnérabilités crypto sont des erreurs d'usage, pas des primitives cassées ; le cadrage de Wong (« quoi utiliser, quoi éviter ») est le plus net qui soit publié.
  • TLS 1.3, Noise et les protocoles façon Signal composent les primitives selon des patterns que tout ingénieur devrait reconnaître à vue, ce livre apprend à les voir.
  • La cryptographie post-quantique n'est plus optionnelle ; le livre introduit les constructions à base de réseaux et de hachages que vous déploierez d'ici quelques années.

Comment ils se comparent

The Art of Software Security Assessment et Real-World Cryptography sont tous deux notés 5/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

The Art of Software Security Assessment vise le niveau avancé. Real-World Cryptography vise le niveau intermédiaire. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

The Art of Software Security Assessment et Real-World Cryptography couvrent tous les deux AppSec : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

The Art of Software Security Assessment

Alternatives à The Art of Software Security AssessmentQue lire après The Art of Software Security Assessment

Real-World Cryptography

Alternatives à Real-World CryptographyQue lire après Real-World Cryptography

Thématiques liées

AppSec